醫(yī)療質量與安全是醫(yī)療行業(yè)發(fā)展的生命線。國家衛(wèi)生健康委發(fā)布《關于印發(fā)醫(yī)療質量安全核心制度要點的通知》,明確十八項核心制度的定義與要求��,督促各級醫(yī)療機構完善制度流程��、強化人員培訓考核�����。從首診負責到病歷管理�����,從手術安全核查到抗菌藥物分級使用��,這些制度貫穿醫(yī)療服務全流程�,既是對醫(yī)療行為的規(guī)范約束,更是守護患者生命健康的堅實屏障���,也為醫(yī)務人員營造規(guī)范有序的執(zhí)業(yè)環(huán)境���,推動醫(yī)療行業(yè)穩(wěn)健發(fā)展。
(一)定義
信息安全管理制度指醫(yī)療機構按照信息安全管理相關法律法規(guī)和技術標準要求����,對醫(yī)療機構患者診療信息的收集、存儲�����、使用����、傳輸、處理��、發(fā)布等進行全流程系統(tǒng)性保障的制度。
(二)基本要求
1.醫(yī)療機構應當依法依規(guī)建立覆蓋患者診療信息管理全流程的制度和技術保障體系���,完善組織架構�����,明確管理部門�,落實信息安全等級保護等有關要求��。
2.醫(yī)療機構主要負責人是患者診療信息安全管理第一責任人����。
3.醫(yī)療機構應當建立患者診療信息安全風險評估和應急工作機制,制定應急預案�����。
4.醫(yī)療機構應當確保實現(xiàn)本機構患者診療信息管理全流程的安全性、真實性、連續(xù)性���、完整性�����、穩(wěn)定性��、時效性�、溯源性。
5.醫(yī)療機構應當建立患者診療信息保護制度��,使用患者診療信息應當遵循合法����、依規(guī)、正當�����、必要的原則��,不得出售或擅自向他人或其他機構提供患者診療信息��。
6. 醫(yī)療機構應當建立員工授權管理制度��,明確員工的患者診療信息使用權限和相關責任����。醫(yī)療機構應當為員工使用患者診療信息提供便利和安全保障,因個人授權信息保管不當造成的不良后果由被授權人承擔����。
7. 醫(yī)療機構應當不斷提升患者診療信息安全防護水平�����,防止信息泄露����、毀損�、丟失。定期開展患者診療信息安全自查工作��,建立患者診療信息系統(tǒng)安全事故責任管理�、追溯機制。在發(fā)生或者可能發(fā)生患者診療信息泄露�����、毀損�、丟失的情況時,應當立即采取補救措施����,按照規(guī)定向有關部門報告。
(三)釋義
1、信息安全全流程系統(tǒng)性保障制度包括哪些方面?
答:醫(yī)療機構信息安全全流程應覆蓋醫(yī)院信息系統(tǒng)(HIS) 及其各子系統(tǒng) (RIS���、 LIS、PACS���、OA 等)��,醫(yī)院信息上傳與共享接口的所有內容�����。系統(tǒng)性保障應有對全流程所涉及的所有信息提供系統(tǒng)保護和相應的機密性和完整性服務能力�。保障制度則是對應以上目標所形成的管理制度��、規(guī)章與操作流程體系�。
信息安全全流程系統(tǒng)性保障制度主要包括技術性安全文件體系和安全管理制度。
技術性安全文件體系主要對信息系統(tǒng)技術要求���、物理安全���、網(wǎng)絡安全、數(shù)據(jù)安全�����、主機安全和應用安全提出構建要求和基本配置要素。
安全管理制度包括醫(yī)療機構安全管理機構制度�、安全管理制度、信息操作人員安全管理�、系統(tǒng)建設管理制度、系統(tǒng)運行維護管理制度體系和安全應急預案��。管理制度之下應建立標準化操作規(guī)程作為補充���。
系統(tǒng)性保障制度必須關注信息系統(tǒng)“六類”安全�,包括真實性��、完整性����、保密性、可用性�����、可靠性和可控性����。增強信息系統(tǒng)安全防護能力、隱患發(fā)現(xiàn)能力和應急響應能力。
醫(yī)療機構主要負責人是信息安全管理第一責任人���。
2�、如何進行信息安全等級劃分?
答:根據(jù)《信息安全等級保護管理辦法》(公通字〔2007〕43號)規(guī)定�����,計算機信息安全劃分為五個等級���。
按照原衛(wèi)生部《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)〔2011〕85 號)要求,以下重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于第三級���。
(1)衛(wèi)生統(tǒng)計網(wǎng)絡直報系統(tǒng)��、傳染性疾病報告系統(tǒng)���、衛(wèi)生監(jiān)督信息報告系統(tǒng)、突發(fā)公共衛(wèi)生事件應急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運行的信息系統(tǒng)��。
(2)國家���、省��、地市三級衛(wèi)生信息平臺��,新農合����、衛(wèi)生監(jiān)督、婦幼保健等國家數(shù)據(jù)中心����。
(3)三級甲等醫(yī)療機構的核心業(yè)務信息系統(tǒng)。
(4)原衛(wèi)生部網(wǎng)站系統(tǒng)����。
(5)其他經(jīng)過信息安全技術專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)。
衛(wèi)生健康行業(yè)各單位在確定信息系統(tǒng)安全保護等級后��,對第二級以上(含第二級)信息系統(tǒng)��,應當報屬地公安機關及衛(wèi)生健康行政部門備案���?��?缡∪珖?lián)網(wǎng)運行并由原衛(wèi)生部定級的信息系統(tǒng),由國家衛(wèi)生健康委報公安部備案��;在各地運行、應用的分支系統(tǒng)����,應當報屬地公安機關備案。
3��、醫(yī)療信息安全的組織架構及分工職責是什么?
答:網(wǎng)絡安全和信息化工作領導小組是醫(yī)院層面負責信息安全工作的主要組織����。網(wǎng)絡安全和信息化工作領導小組組長由醫(yī)療機 】構主要負責人擔任����,按照“誰主管誰負責、誰運營誰負責�����、誰使用誰負責”的原則�����,在網(wǎng)絡建設過程中明確本單位各網(wǎng)絡的主管 門��、運營部門��、信息化部門�����、使用部門等管理職責��,對本單位運營范圍內的網(wǎng)絡進行等級保護定級��、備案���、測評��、安全建設整改等工作���。具體要求見《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》(國衛(wèi)規(guī)劃發(fā)〔2022〕29號)相關規(guī)定。
4����、實施醫(yī)療機構信息安全管理問責制有哪些內容?
答:醫(yī)療機構主要負責人是信息安全管理第一責任人。
醫(yī)療機構應建立與完善信息安全管理組織的工作制度與程序�����。
建立與完善計算機信息系統(tǒng)硬件與軟件的采購����、驗收制度與程序����。
明確信息系統(tǒng)使用與管理人員的崗位職責��,并對提供與使用的信息可信度及安全負責���。
明確計算機信息系統(tǒng)專職管理人員離崗制度與交接程序��。
5��、如何建立與完善計算機信息系統(tǒng)的安全管理制度與流程?
答:計算機信息系統(tǒng)的安全管理制度與流程的覆蓋層面����,至少包括關于患者的所有數(shù)據(jù)���,對不同的數(shù)據(jù)資料制定不同的保護路徑措施(比如���,數(shù)字與圖像),所有權屬患者個人。
根據(jù)數(shù)據(jù)安全保護制度建立技術標準����,利用存儲及備份技術、網(wǎng)絡安全監(jiān)控技術�����、信息加密技術�����、訪問控制技術加以保護���。
建立與完善計算機信息系統(tǒng)網(wǎng)絡安全漏洞檢測和系統(tǒng)升級管理制度���、操作權限管理制度��、用戶登記制度����、信息發(fā)布審查、登記���、保存�、清除和備份制度。
明確任何單位和個人不得用計算機信息系統(tǒng)從事的行為,有清單/目錄告知有操作權限的員工�,并定期對其進行培訓和教育���。
定期��、不定期由醫(yī)院內部與外部信息安全評估組織����,進行醫(yī)院信息系統(tǒng)安全評估�,用制度與程序來保障��,將安全評估的結果用于網(wǎng)絡安全持續(xù)改進活動��。各醫(yī)療衛(wèi)生機構在信息系統(tǒng)運營過程中���,應每年開展文檔核驗、漏洞掃描�����、滲透測試等多種形式的安全自查���,及時發(fā)現(xiàn)可能存在的問題和隱患�����。針對安全自查�、監(jiān)測預警、安全通報等過程中發(fā)現(xiàn)的安全隱患應認真開展整改加固�����,防止網(wǎng)絡帶病運行�,并按要求將安全自查及整改情況報上級衛(wèi)生健康行政部門。
6、如何根據(jù)醫(yī)療機構患者診療信息安全風險評估的內容制定應急預案?
患者診療信息在錄入����、儲存�����、調閱�、輸出過程中始終存在安全風險。通過網(wǎng)絡鏈接�、數(shù)據(jù)接口���、第三方共享平臺等形式,患者信息還有進一步被泄露和篡改的風險���。因此應急預案的擬定是必要的,也是應對信息安全風險的基礎與前提。
預案應至少包括但不限于以下內容。
組織機構:網(wǎng)絡與信息安全應急小組應由領導小組、技術小組組成��,應由醫(yī)療機構負責人擔任第一責任人����。小組負責信息安全日常事務處理、應急處理及安全通報等事務��。
工作原則:逐級建立并落實統(tǒng)計信息系統(tǒng)責任制和應急機制����;按照法規(guī)規(guī)定職責和流程���;積極預防����、及時預警;積極提升應急處理能力;各部門協(xié)同配合開展工作���。
應急措施:基本應急處理流程應至少包括報告和簡單處理����;故障分級分類判斷與處理�����;網(wǎng)絡線路故障排除���;黑客入侵應急處理�����;患者信息泄露的應急預案��;大規(guī)模病毒 (含惡意軟件)攻擊的應急處理等預案和處置原則。
運營應急措施:醫(yī)院HIS局部或全部癱瘓狀況下臨床運營處置預案�����。
7����、醫(yī)療機構建立患者診療信息保護制度應當包含哪些方面?
答:患者診療信息是指醫(yī)療機構在提供醫(yī)療服務過程中產(chǎn)生的�,以一定形式記錄、保存的信息以及其他與醫(yī)療衛(wèi)生服務有關的信息��,包括患者的個人基本信息�、掛號信息���、就診信息�����、住院醫(yī)囑信息、費用信息����、影像資料和檢驗結果等各種臨床和相關內容組成的患者信息群集。
診療信息保護制度應包括獲取制度����、修改制度和安全保障制度。
獲取制度原則包括獲取行為的界定,例如�����,報銷�、外院就診、案件審理���、臨床研究等�����;個人獲取流程和必需材料����;政府或社會組織獲取流程和依據(jù)材料����。
修改制度原則包括患者個人信息修改流程和醫(yī)務人員醫(yī)囑��、診斷等敏感信息修改流程�。
安全保障制度原則包括任何患者的所有電子信息資料在未經(jīng)主管領導的批準下只許在醫(yī)療機構內部管理���,不得轉出;患者資料通過分級權限管理保護及診治���;未經(jīng)患者本人的許可�,不得將其疾病及相關隱私信息傳播給他人�����。
8����、為什么要建立分級授權制度?
答:醫(yī)院信息系統(tǒng)在實際意義上屬于開放式系統(tǒng)�����,大量個人信息和敏感數(shù)據(jù)存在于HIS和各子系統(tǒng)中�����,并不斷被調閱使用�。另外����,還有大量的數(shù)據(jù)上傳和分享接口�����。大部分醫(yī)療機構對外網(wǎng)頁還設置了內網(wǎng)或協(xié)同辦公系統(tǒng)登錄界面����。
醫(yī)院信息系統(tǒng)主要面向醫(yī)院信息系統(tǒng)工作人員和使用人員。醫(yī)院信息系統(tǒng)工作人員既包括醫(yī)院信息工程師���,也包括大量系統(tǒng)外包的場地工程師����、系統(tǒng)維護人員等�����。醫(yī)院信息系統(tǒng)使用人員包括醫(yī)生、護士、管理人員以及醫(yī)學生����、進修生、規(guī)培生等。根據(jù)不同人員身份和崗位性質�����,設立嚴格的登錄和操作權限授權是非常必要的��??紤]到授權工作的唯一性和動態(tài)變化,采取分級管理模式才具有可行性�。
9、員工授權管理制度包括哪些方面?
員工授權管理制度應包括內部人員授權管理制度����、外包人員授權管理制度和授權變更管理制度。
醫(yī)院信息系統(tǒng)相關的所有授權和審批事項的制度����,必須明確各授權和審批的部門和責任人�。信息安全管理各環(huán)節(jié)的流程中授權和審批部分均需按照本授權和審批事項的制度執(zhí)行。
內部人員授權管理由醫(yī)療機構信息安全領導小組主導并起始��,實施按層級分級授權和負責制度�����。
外包人員授權管理應由醫(yī)療機構信息安全工作小組組長授權��,并按層級和部門崗位予以授權�����,并向授權方負責��。沒有經(jīng)過正式授權的臨時信息系統(tǒng)維護需求����,可由信息安全工作小組組長臨時授權同意后補充授權記錄��。
重點加強對被授權者及其訪問權限操作行為的合規(guī)性進行監(jiān)管,評估與記錄在案:①建立與完善記錄操作日志�����,記錄一定周期內的行為日志��,通過軟件系統(tǒng)逐一識別����,確定操作行為的合規(guī)性���;②建立操作系統(tǒng)識別庫��,對于不屬于識別庫的行為����,系統(tǒng)要給予報警�,直至下調授權等次或中止授權。
10�、如何防止醫(yī)療信息泄露����、毀損和丟失?
答:首先���,應按照信息安全等級要求����,建立嚴格的信息分級安全管理系統(tǒng)和配套工作制度�����。
其次��,應建立嚴格的信息分級授權制度體系和基于管理需求�、科研需求的信息數(shù)據(jù)使用管理規(guī)范并常態(tài)化運行。授權審批應嚴格根據(jù)工作崗位和工作內容而定��。
最后,建立主數(shù)據(jù)雙備份制度�����。對醫(yī)療信息均要求保存?zhèn)浞輸?shù)據(jù)和數(shù)據(jù)表����,并保持良好的兼容互通���。
11����、發(fā)生泄露事件后應急預案要點有哪些?
泄密類信息安全事件不同于一般的信息安全事件��。應急處置基本原則要求有以下幾點����。
①泄密發(fā)現(xiàn)人員在第一時間先就泄密事件本身保密;
②如已掌握涉密情況��,則選擇具有相應涉密級別的人員進行報告或直接報告醫(yī)院信息安全領導小組組長����;
③如未掌握涉密情況,應向上一級信息安全主管報告�����;
④處置過程保密����。
12�����、如何建立患者診療信息安全事故責任的追溯機制?
答:根據(jù)信息安全分級授權和信息分級保護要求���,信息安全事故責任須進行逐級追溯�����。
根據(jù)隱私泄露溯源應從最終數(shù)據(jù)應用者向個人數(shù)據(jù)源頭搜尋的原則�����,建立溯源技術標準體系���、患者診療數(shù)據(jù)使用登記制度����、溯源監(jiān)管制度和溯源獎懲制度����。
溯源技術標準體系主要為實現(xiàn)技術可行性����?���;颊咴\療數(shù)據(jù)使用登記制度為實現(xiàn)數(shù)據(jù)跟蹤和溯源有跡可循���。溯源監(jiān)管和獎懲制度主要是強化溯源機制的威懾與強制作用。
13�、如何實施軟件安全管理?
答:實施軟件安全管理,應從以下四個方面進行管理��,但不限于此����。
(1)醫(yī)療機構臨床信息系統(tǒng)軟件的管理和維護�,應由本機構計算機信息系統(tǒng)的專職管理員負責實施日常的管理和維護����。
(2)若由開發(fā)該軟件的公司負責維護的醫(yī)療機構���,應在維保協(xié)議中明確軟件公司應書面報告每次維護的情況,經(jīng)使用認可后報計算機信息系統(tǒng)專職管理員備案��。
(3)由各科室自行開發(fā)或應用的新軟件,除上級或政府職能部門指定統(tǒng)一使用的外�,均必須按照規(guī)定的程序申報,經(jīng)網(wǎng)絡安全和信息化工作領導小組討論批準后方可應用��。在原有系統(tǒng)上進行新功能的迭代開發(fā)的�,應遵循信息系統(tǒng)項目管理和代碼更新上傳的標準規(guī)范流程進行。
(4)為了防止計算機信息系統(tǒng)被病毒感染或者擴散病毒�,任何個人及部門科室均不得自行使用殺毒的軟盤���、光盤�����、U盤等儲存介質����。
14��、醫(yī)療機構如何對醫(yī)療數(shù)據(jù)的使用�、處理和披露進行管理?
答:根據(jù)《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》,各醫(yī)療衛(wèi)生機構應建立健全數(shù)據(jù)安全管理制度���、操作規(guī)程及技術規(guī)范�����,涉及的管理制度每年至少修訂一次����,建議相關人員每年度簽署保密協(xié)議���。每年對本單位的數(shù)據(jù)進行數(shù)據(jù)安全風險評估���,及時掌握數(shù)據(jù)安全狀態(tài)。加強數(shù)據(jù)安全教育培訓���,組織安全意識教育和數(shù)據(jù)安全管理制度宣傳培訓�����。結合本單位實際����,建立完善數(shù)據(jù)使用申請及批準流程�����,遵循“誰主管�、誰審查”�����、遵循事前申請及批準、事中監(jiān)管����、事后審核原則,嚴格執(zhí)行業(yè)務管理部門同意�����、醫(yī)療機構領導核準的工作程序,指導數(shù)據(jù)活動流程合規(guī)���。
特別聲明:智慧醫(yī)療網(wǎng)轉載其他網(wǎng)站內容,出于傳遞更多信息而非盈利之目的����,同時并不代表贊成其觀點或證實其描述����,內容僅供參考����。版權歸原作者所有,若有侵權����,請聯(lián)系我們刪除�����。
凡來源注明智慧醫(yī)療網(wǎng)的內容為智慧醫(yī)療網(wǎng)原創(chuàng)�,轉載需獲授權��。
